Vídeo: Como Descobrir Quais APPS Estão SUGANDO Seus Dados Móveis do Celular (Novembro 2024)
Alguns aplicativos fiscais e financeiros relacionados para Android e iOS podem estar coletando e compartilhando dados do usuário desnecessariamente. Você tem algum desses aplicativos no seu dispositivo móvel?
A Appthority analisou vários aplicativos de gerenciamento financeiro tributário para dispositivos Android e iOS e identificou alguns comportamentos de risco, incluindo rastreamento da localização do usuário, acesso à lista de contatos e compartilhamento de dados do usuário com terceiros, disse Domingo Guerra, presidente e fundador da Appthority, à SecurityWatch.
Muitos aplicativos transmitem dados do usuário, como localização, e informações de contatos retiradas do catálogo de endereços para redes de anúncios de terceiros, segundo Appthority. A maior parte da comunicação com as redes de publicidade estava em texto não criptografado. Embora fizesse sentido para o aplicativo H&R Block ter acesso à localização do usuário, uma vez que o aplicativo permite que os usuários encontrem a loja mais próxima, "não ficou muito claro por que" os aplicativos restantes precisavam dessas informações.
"O resto está apenas compartilhando esse local com redes de publicidade", afirmou Guerra.
A lista de aplicativos incluía "aplicativos tributários de grandes nomes e alguns recém-chegados menores", como o H&R Block TaxPrep 1040EZ e os aplicativos H&R Block completos, TaxCaster e My Tax Reembolso da Intuit (a empresa por trás do TurboTax), Income Tax Calculator 2012 de um desenvolvedor chamado SydneyITGuy e imposto federal 1040EZ da RazRon, disse Guerra. A Appthority realizou sua análise usando seu próprio serviço automatizado de gerenciamento de riscos de aplicativos para dispositivos móveis.
Fraco para sem criptografia
Os aplicativos geralmente tinham criptografia fraca e optaram por proteger seletivamente parte do tráfego de dados, em vez de criptografar todo o tráfego, segundo Appthority. Alguns dos aplicativos - Guerra não especificaram quais - usavam cifras de criptografia previsíveis em vez de alavancar randomizadores de criptografia. Os aplicativos "sem nome", como o RazRon, não usavam criptografia.
Um dos aplicativos de grande nome incluía caminhos de arquivo para o código-fonte em suas informações de depuração no executável. Os caminhos de arquivos geralmente incluem nomes de usuário e outras informações que podem ser usadas para atingir o desenvolvedor ou a empresa do aplicativo, disse Appthority. Mais uma vez, Guerra não identificou o aplicativo pelo nome.
Embora "geralmente não seja um grande risco vazar essas informações", "elas devem ser evitadas se possível", afirmou Guerra.
Expor dados
Alguns dos aplicativos oferecem um recurso em que o usuário pode tirar uma foto do W2, e a imagem é salva no "rolo da câmera" do dispositivo, segundo Appthority. Isso pode ser um problema sério para usuários que fazem upload ou sincronizam automaticamente com serviços em nuvem, como o iCloud ou o Google+, pois essa imagem é salva em locais inseguros e potencialmente expostos.
As versões iOS e Android do aplicativo H&R Block 1040EZ usavam redes de anúncios como AdMob, JumpTab e TapJoyAds, mas a versão completa do aplicativo H&R Block não exibe anúncios, observou Appthority.
iOS vs Android
Não houve muitas diferenças nos tipos de comportamentos de risco entre as versões iOS e Android do mesmo aplicativo, disse Guerra. A maioria das diferenças se resumia à maneira como o sistema operacional lida com as permissões. O Android exige que o aplicativo exiba todas as permissões antes que o usuário possa instalar e executar o aplicativo em uma abordagem de tudo ou nada. Por outro lado, o iOS pede permissão à medida que a situação surge. Por exemplo, o aplicativo iOS não terá acesso ao local do usuário até que ele tente usar o recurso localizador de lojas.
De acordo com as regras mais recentes, o iOS 6 proíbe os desenvolvedores de aplicativos de rastrear usuários com base no ID do dispositivo e nos números UDID ou EMEI. Essa prática ainda é comum entre aplicativos Android. A versão iOS do aplicativo H&R Block 1040EZ não rastreia o usuário, mas a versão Android do mesmo aplicativo coleta o ID do dispositivo móvel, a construção da plataforma móvel e as informações da versão e o ID do assinante do dispositivo móvel, disse Guerra.
O aplicativo H&R Block completo no Android solicita e pode acessar uma lista de todos os outros aplicativos instalados no dispositivo. A versão iOS do aplicativo não tem acesso a essas informações porque o sistema operacional não permite isso.
Arriscado ou não?
Não há nada especificamente arriscado neste momento, esses aplicativos não estão transmitindo senhas e registros financeiros em texto não criptografado. No entanto, permanece o fato de que os aplicativos estão compartilhando dados do usuário desnecessariamente. Com exceção de um aplicativo, nenhum dos outros aplicativos ofereceu o recurso localizador de lojas. Por que, então, esses outros aplicativos precisavam acessar o local do usuário? Por que esses aplicativos precisavam acessar os contatos do usuário? Isso não parece necessário para preparar impostos.
Appthority analisou alguns aplicativos antigos "para provar um ponto", disse Geurra. Muitos desses aplicativos têm uma espécie de data de validade - como aplicativos fiscais de 2012 - em que os usuários não devem mais usá-lo após o uso.
Esses "aplicativos descartáveis" raramente são retirados do mercado e os usuários devem estar cientes de que esses aplicativos têm acesso aos dados nos dispositivos do usuário.